Många av våra läsare har säkert uppmärksammat att Integritetsskyddsmyndighetens arbete verkar vara i full gång. Just nu kommunicerar Integritetsskyddsmyndighetens många nyheter i form av genomförda tillsyner. Men vad är en tillsyn och vad kan en tillsyn leda till?
Vad är en tillsyn?
Som bekant är Integritetsskyddsmyndigheten tillsynsmyndighet för bland annat efterlevnaden av GDPR. Det innebär att Integritetsskyddsmyndigheten är den myndighet som genom tillsyner säkerställer att människor fri- och rättigheter skyddas när personuppgifter behandlas och att bland annat GDPR efterlevs. Det finns två typer av tillsyner: 1) Inspektion = Integritetsskyddsmyndigheten gör besök hos verksamheten som är föremål för tillsynen och 2) Skrivbordstillsyn = Integritetsskyddsmyndigheten skickar dokument med frågor till verksamheten, verksamheten ska sedan svara på dessa frågor skriftligen.
Integritetsskyddsmyndigheten kan välja att inleda en tillsyn mot en personuppgiftsansvarig eller ett personuppgiftsbiträde. Om tillsynen sker i form av en inspektion, får verksamheten i de flesta fall information om att en tillsyn kommer att genomföras i förväg. En viktig del av en tillsyn är att Integritetsskyddsmyndigheten publicerar resultatet av vad de kom fram till. Genom detta kan alla ta del av den vägledning som framkommer i tillsynerna.
Integritetsskyddsmyndigheten har upprättat en tillsynsplan för 2019 och 2020. Av tillsynsplanen framkommer vilka områden eller branscher som kommer vara i fokus för tillsyner under detta och kommande år. Ni kan läsa mer om tillsynsplanen här.
Vad kan en tillsyn leda till?
En tillsyn avslutas genom ett tillsynsbeslut. I beslutet framkommer det vilken påföljd som eventuellt aktualiseras. Datainspektionen har ett antal möjliga påföljder att välja på om Integritetsskyddsmyndigheten gör bedömningen att någon åtgärd behöver vidtas. Dessa påföljder kallas korrigerande åtgärder. Integritetsskyddsmyndigheten kan besluta om en korrigerande åtgärd om en verksamhet bryter eller riskerar att bryta mot GDPR och övriga regler kring personuppgiftshantering.
De korrigerande åtgärderna är:
- Varning
- Reprimand
- Föreläggande
- Sanktionsavgift
Varning kan enbart utfärdas innan en överträdelse ägt rum. Det kan vara fallet om behandlingen inte inletts men är planerad.
Reprimand kan utfärdas efter att en verksamhet brutit mot GDPR eller övriga regler gällande dataskydd.
Föreläggande innebär att Integritetsskyddsmyndigheten kan förelägga verksamheten att göra en viss sak. Det kan vara till exempel om en registrerad begärt ett registerutdrag utan att få ett sådant (rätten till tillgång). Ni kan läsa mer om rätten till tillgång här. Integritetsskyddsmyndigheten har till exempel nyligen avslutat en tillsyn av brottsbekämpande myndigheter, där Integritetsskyddsmyndigheten förelade bland annat Tullverket att komplettera deras förteckningar med vissa uppgifter. Integritetsskyddsmyndigheten har även en möjlighet att genom ett föreläggande införa en begränsning eller ett förbud av verksamhetens behandling av personuppgifter.
Sanktionsavgift kan antingen utfärdas för sig själv eller tillsammans med någon av de andra korrigerande åtgärderna. Sanktionsavgifter kan bli aktuellt för överträdelser av nästan alla bestämmelser i GDPR.
Hur kan vi förbereda oss på en tillsyn?
Det behöver inte vara svårt att vara förberedd om en tillsyn skulle inledas mot er. Nedan följer några enkla steg på hur ni kan börja för att en tillsyn ska flyta på:
- Säkerställ att ni har ett giltigt lagstöd och ett ändamål med de personuppgiftsbehandlingar ni har.
- Begränsa tillgång inom er organisation och säkerställ att ni har tillräckliga säkerhetsåtgärder för de personuppgifter ni behandlar.
- Se till att ha avtal och styrdokument som är uppdaterade och speglar verksamheten.
- Arbeta fram rutiner för hur ni hanterar de registrerades rättigheter, bland annat rätten till information och rätten till tillgång.
- För ett register över er personuppgiftsbehandling. I ett register kan ni dokumentera era åtgärder och har därmed enklare att visa på att ni följer GDPR. Det går även snabbare att svara på Integritetsskyddsmyndighetens frågor eftersom det redan finns nedskrivet. GDPR Hero är ett register för att bland annat dokumentera era personuppgiftsbehandlingar och mottagare av personuppgifter. Boka gärna en demo här.
Vill ni veta mer?
Vi hjälper er självklart att uppfylla kraven som uppställs i GDPR och kompletterande lagstiftning! Om ni redan nu påbörjar ert arbete med att uppfylla GDPR kan ni känna er förberedda om Integritetsskyddsmyndigheten skulle inleda en tillsyn mot er verksamhet. Kontakta oss på 046 – 273 17 17 eller mejla till info@gdprhero.